ISMS und IT-Sicherheitsberatung

12/2020 – 4/2021

Thema:
BDEW Compliance Check für Anlagenerrichtung im Übertragungsnetz

Rolle:
Teamleiter und operativer Auditor

Teamgröße:
2 Mitarbeiter

Zielsetzung / erwartete Lieferleistung:
Lieferantenaudit entlang der Vorgaben des Bundesverbands der Energie- und Wasserwirtschaft (BDEW) und daraus resultierender Ergebnisbericht.

Aktivitäten:
- Auditplan erstellt
- Lieferantenaudit gegenüber dem Generalunternehmer geleitet und durchgeführt
- Maßnahmenempfehlung für Korrekturmaßnahmen formuliert
- Compliance Abschlussbericht - in englischer Sprache - erstellt

Methoden und Werkzeuge:
BDEW Whitepaper: Anforderungen an sichere Steuerungs- und Telekommunikationssysteme v.1.0

ISO / IEC 27001

11/2020 – 12/2020

Thema:
Prozessaudit für 'Software Entwicklung'

Rolle:
Operativer Auditor

Teamgröße:
3 Mitarbeiter

Zielsetzung / erwartete Lieferleistung:
Prozessaudit für ‚Software Entwicklung‘ mit fünf exemplarischen Stichproben.

Aktivitäten:
- Informationen entlang der Dokumentenlage erhoben
- Ergebnis mit der Prozessbeschreibung verglichen
- Ergebnisbericht formuliert

Methoden und Werkzeuge:
Auftraggeber spezifische Richtlinie zur Prozessdurchführung ‚Software Entwicklung‘

ISO / IEC 27001

9/2020 – 11/2020

Thema:
Technische Audits für verschiedene Technologiefelder

Rolle:
Operativer Auditor

Teamgröße:
3 Mitarbeiter

Zielsetzung / erwartete Lieferleistung:
Technische Audits für folgende Komponenten:
- IBM MQ
- IBM Integration Bus
- IBM DB2 rDBMS
- IBM DS8000
- Hitachi Data Storage Virtual Storage Platform (HDS VSP) G1000
- Brocade SAN Switch
- Iteration NetApp Filer

Aktivitäten:
- Auditpläne erstellt
- Informationen im Interview erhoben
- Ergebnis mit den Richtlinien des Auftraggebers verglichen
- Ergebnisbericht formuliert

Methoden und Werkzeuge:
Auftraggeber spezifische Richtlinien für die Konfiguration und den Betrieb der vorgenannten Komponenten.

ISO / IEC 27001

4/2019 – 12/2020

Thema:
Cloud / IT Risikoanalysen

Rolle:
Teamleiter und operativer Auditor

Teamgröße:
5 Mitarbeiter

Zielsetzung / erwartete Lieferleistung:
Informationsklassifizierung und Risikoanalysen für IT Backend Systeme im Office und Produktionsbereich, als on-premise und Cloud Architektur

Aktivitäten:
- Projektsteuerung in Absprache mit dem Auftraggeber
- Informationsklassifizierung im Interview erhoben und dokumentiert
- Risikoanalysen durchgeführt und dokumentiert

Methoden und Werkzeuge:
Wasserfall, SecDevOps, continuous integration / continuous delivery (ci/cd), managed Docker and Kubernetes services, Risikoanalysemethodik des Auftraggebers

ISO / IEC 27001

3/2018 – 2/2021

Thema:
Bedrohungsmodelle (threat models) für IT/OT/Cloud Architekturen

Rolle:
Teamleiter und operativer Information Sicherheitsarchitekt

Teamgröße
4 Mitarbeiter

Zielsetzung / erwartete Lieferleistung:
Privacy and Security by Design. Berücksichtigung von Informationssicherheit, als Teil der sicheren Anwendungsentwicklung. Bedrohungsmodelle erstellen, für verschiedenste on-premise und Cloud Architekturen, sowie für ‚embedded devices‘ mit Wasserfall- und SecDevOps Entwicklungsmethode.
Z.B. für:
- RFID Bezahlsysteme
- Lackroboter
- vernetzte Großküchengeräte
- Kampagnen Planungssysteme
- KI und Big Data Anwendungen
- QM Systeme
- System zur Steuerung von Ausbildungsinhalten
- Systeme zur Lieferantensteuerung
Zielsetzung ist, die Angriffsoberfläche (attack surface) so klein wie möglich zu halten und für Security Awareness in Entwicklungsprojekten zu sorgen.

Aktivitäten:
- Information Sicherheitsarchitekten Team aufgebaut
- Bedrohungsmodelle für monolithisch und microservice Architekturen erstellt
- Ergebnisbericht – in englischer Sprache - erstellt

Methoden und Werkzeuge:
STRIDE, Salzer and Schröder, OWASP Top Ten, OWASP Secure Application Verification Standard, ISO 27017, ISO 27018, EU-DSGVO, threat modeling Methode des Auftraggebers.

ISO / IEC 27001

11/2017 – 2/2018

Thema:
ISMS Beratung im Bereich KritisV

Rolle:
Teamleiter und operativer Berater

Teamgröße:
2 Personen

Zielsetzung / erwartete Lieferleistung:
- ISMS Gap Analyse für europäische Standorte vorbereitend für BSIG §8a
- Vereinheitlichung der Risikomanagement Methode nach ISO 27005 als Grundlage für ISO 27001 ISMS und ISO 22301 BCM
- mehrere Varianten an Angeboten und Projektplänen für Beratungsdienstleistungen zur ISO 27001 Zertifizierung

Aktivitäten:
- ISMS Gap Analyse erstellt
- ISMS Reifegradanalyse in Bezug zu dem Governance Framework des zukünftigen Eigentümers erstellt
- abgestimmte Vorgehensweise zum ISO 27005 konformen Risikomanagement in Form einer Prozessbeschreibung nebst notwendiger Risikokriterien erstellt
- zwei Angebotsvarianten und Projektpläne für Beratungsdienstleistungen zur ISO 27001 Zertifizierung erstellt

Methoden und Werkzeuge:
BSI Gesetz (BSIG), Verordnung zur Bestimmung kritischer Infrastrukturen (KritisV), Orientierungshilfe zu Nachweisen gemäß
§ 8a (3) BSIG, ISO 27001, ISO 27005

ISO / IEC 27001

1/2017 – 9/2017

found in reference description 4
Thema:
Beratung für ISMS Aufbau und Zertifizierung

Rolle:
Berater für ISMS Aufbau und Zertifizierung

Teamgröße:
1 Mitarbeiter

Zielsetzung / erwartete Lieferleistung:
Beratung und Dokumentationserstellung für Stadtwerke und Stadtwerkekonsortien im Kontext der Zertifizierung zum Smart Meter Gateway Administrator (SMGw-A)

Aktivitäten:
Unterstützung bei der Zertifizierung in Form von Dokumententemplates, Prozesslandkarten, Workshops und Beratungsdienstleistungen.

Methoden und Werkzeuge:
ISO 27001 in Verbindung mit TR-03109-6 und BSI Certificate Policy der Smart Metering PKI (CP-SM-PKI)

ISO / IEC 27001

1/2017 – offen

Thema:
Sicherheitskonzept EMT passiv

Rolle:
Autor eines 90 Seiten starken Sicherheitskonzeptes

Teamgröße:
1 Mitarbeiter

Zielsetzung / erwartete Lieferleistung:
IT-Sicherheitskonzept welches den regulativen Anforderungen der ‚Certificate Policy der Smart Metering Public Key Infrastructure‘ (CP-SM-PKI) des Bundesamts für Sicherheit in der Informationstechnologie (BSI) und des Datenschutzes (EU-DSGVO) genügt. Vertriebsunterstützung und Beratung beim Anwender vor Ort.

Aktivitäten:
IT-Sicherheitskonzept (SiKo) initial erstellt und kontinuierlich – entlang sich ändernder gesetzlicher und regulativer Vorgaben – angepasst. Spezifische Anpassungen auf die Gegebenheiten bei Anwendern vor Ort durchgeführt. In der Regel wird das SiKo von Stadtwerken und Stadtwerkekonsortien angewendet. Weitere SiKo Ausprägungen für die Geschäftsfälle on-premise und Software as a Service (SaaS) erstellt.

Methoden und Werkzeuge:
MsbG, EU-DSGVO, BSI Certificate Policy der Smart Metering Public Key Infrastructure‘ (CP-SM-PKI)

ISO / IEC 27001

4/2016 – 9/2017

Thema:
Aufbau und Leitung konzernweites, integriertes ISMS

Teamgröße:
2 Mitarbeiter

Zielsetzung / erwartete Lieferleistung:
Aufbau und Leitung konzernweites, integriertes ISMS für die Sparten Messstellenbetrieb, öffentlicher Personenverkehr (ÖPNV) und Office IT.

Aktivitäten:
- Organisatorischen Überbau für Organisationseinheit ‚Informationssicherheit‘ errichtet
- Organisationseinheit ‚Informationssicherheit‘ geleitet
- Konzernweites ISMS Berichtswesen erstellt
- Prozesse aus der ISO 9001 Landschaft integriert
- Im Bereich PCI-DSS für Plastikkarten Bezahlsysteme operativ unterstützt

Methoden und Werkzeuge:
ISO 27001, ISO 9001, PCI DSS

DIN EN ISO 27001

2/2016 – 1/2017

found in reference description 2
Thema:
ISO 27001 Zertifizierung

Rolle:
Leiter der Stabsstelle für Informationssicherheit

Anzahl Mitarbeiter im ISMS Geltungsbereich:
24 Personen

Zielsetzung / erwartete Lieferleistung:
Leitung des ISO 27001 Zertifizierungsprojektes für Smart Meter Gateway
Administrator (SMGw-A) und Public Key Infrastructure (PKI SubCA) mit der fristgerechten Zertifizierung innerhalb der nächsten 11 Monate.

Aktivitäten:
ISO 27001 Zertifizierung für SMGw-A und PKI SubCA in den Ausprägungen Software as a Service (SaaS) und Business Process as a Service (BPaaS) fristgerecht erreicht.

Methoden und Werkzeuge:
ISO 27001 in Verbindung mit TR-03109-6, TR-03145 und BSI Smart Meter-Certificate Policy-Public Key Infrastructure (CP-SM-PKI)

ISO / IEC 27001

9/2009 – 12/2015

Thema:
Sicherheitshärtung und Sicherheitsüberwachung

Rolle:
Nebengewerblich selbstständig

Teamgröße:
1 Person

Zielsetzung / erwartete Lieferleistung:
Sicherheitshärtung und Sicherheitsüberwachung zweier Webserver - jeweils unter Open SuSE und Debian LTS.

Aktivitäten:
- IT-Sicherheitshärtungskonzept entwickelt und gewartet
- Systeme aktiv überwacht
- Technischen Kontrollen auf den Systemen regelmäßige auf Wirksamkeit überprüft
- kontinuierliche Auswertung relevanter Quellen nach Schwachstellen
- Monatliche Berichte erstellt

Methoden und Werkzeuge:
Iptables, Fail2ban, port scan attack detection (PSAD), advanced intrusion detection system (AIDE), periodische Schwachstellenscans, weitere spezifische technische Maßnahmen

Linux (Kernel)

6/1999 – 1/2016

Thema:
Erfüllung normativer und regulativer Vorgaben zur Informationssicherheit

Rolle:
- Mitglied ISMS Management Team
- Beauftragter für Hardware Security Module (HSM)
- PKI - 1st Crypto Officer
- Operativer IT Mitarbeiter im Rechenzentrum
- Stellvertretender Abteilungsleiter

Anzahl ständige Mitglieder ISMS Management Team:
5 Mitarbeiter

Zielsetzung / erwartete Lieferleistung:
Erfüllung normativer und regulativer Vorgaben zur Informationssicherheit als Voraussetzung für die Erschließung von internationalen Marktzugängen.

Aktivitäten:
- In der Rolle ‚Lieferant‘ weltweit Audits bestehen
- Aufbau Betrieb und Verbesserung eines ISMS / BCM nach verschiedenen Normen und Standards
- Erstellung von Risikoanalysen
- Aufbau einer IT-Service Organisation nach ISO 20000 / ITIL
- Betrieb von HSM‘s
- Betrieb einer PKI für eine machine-to-machine (M2M) Architektur
- Systementwickler für M2M Architekturen
- Durchführung von technischen Schwachstellentests
- Erstellung von ISMS / BCM / PKI / System Dokumentation als Autor und Co-Autor
Schnittstelle zu externen Entwicklungspartnern und Prüflaboren
- Steuerung von Lieferanten
- Entwicklung von BDSG Verfahrensbeschreibungen

Methoden und Werkzeuge:
BS7799, BS17799, BSI-Grundschutz, EBIOS, ISO 27001, NIST
800-34, COBIT, CMMI for Service Providers, SAS 70, OpenVAS, Backtrack, Kali Linux, Wireshark

ISO / IEC 27001